如何从HTTPS(SSL)降级到HTTP?我正在使用IIS7.5,AJP 1.3和Tomcat 5.5(带SSL)
问题描述:
我正在运行带有IIS 7.5,AJP Connector 1.3和启用了SSL的Tomcat 5.5的Windows Server 2008 R2。我正在使用自签名证书,仅用于测试。我还在web.xml中加入了一个安全约束,以实现名为BeforeAuth.jsp的特定页面的SSL。由于启用了SSL,Tomcat正在同一网站上处理HTTP和HTTPS流量。如何从HTTPS(SSL)降级到HTTP?我正在使用IIS7.5,AJP 1.3和Tomcat 5.5(带SSL)
我想要做的是从HTTPS降为HTTP特定的url模式,但我不知道如何去做。
在我理想的例子中,我有一个使用HTTP的登录页面。当用户提交页面时,它将导航到作为HTTPS的BeforeAuth.jsp。然后,提交BeforeAuth.jsp并调用一个闭源第三方Java验证器(通过HTTPS),并且在验证成功后,验证器负责将浏览器指向名为home.jsp的主页,即HTTP。
因此,它的登录(HTTP) - >验证(HTTPS) - > HomePage(HTTP)。
我该如何解决这个问题?
谢谢。
答
你所要求的是一个重定向:只是建立你想重定向到的整个URL,包括协议(https:)。
你真正想要做的是整个时间使用SSL:如果你使用SSL进行身份验证,为什么不在会话的其余部分使用SSL?从请求行(如果使用URL重写)或cookie嗅探JSESSIONID与获取当前会话的用户密码一样好。除非用户的凭证价值超过登录后可以访问的数据,否则最好的办法就是始终使用SSL。